هکرهای حرفهای برای سرقت کارتهای اعتباری از فروشگاههای اینترنتی به استفاده از سرورهای گوگل روی آوردهاند. روش جدید جهت عبور از سیستم امنیتی محتوا ( CSP ) با استفاده از ابزار تحلیل ترافیک گوگل ( Google Analytics ) انجام میشود.
موج جدید این حملات از چند هفته پیش آغاز شده و هجوم به سایتهای فروشگاهی با استفاده از این روش هر روز افزایش بیشتری پیدا میکند. این روش فقط روی سایتهایی کاربرد دارد که از سیستم Google Web Analytics استفاده میکنند و دامنههای گوگل درون CSP این فروشگاهها در لیست سفید قرار دارند ( CSP یک استاندارد امنیتی مانند فایروال است که برای جلوگیری از اجرا کدهای اینجکتی و غیرقابل اعتماد در برنامههای تحت وب استفاده میشود، به این حالت که امکان دستکاری صفحات و فرمها محدود شده و درخواستهای غیر استاندارد و دستکاری شده لغو میشوند ).
تحقیقات جدید شرکتهای امنیتی SanSec و PerimeterX نشان میدهد که استفاده از CSP جهت محافظت از دستکاری سورس صفحات زمانی که از Google Analytics استفاده میکنید عملا بیفایده است زیرا هکرها میتوانند با استفاده از اسکریپت گوگل سیستم امنیت محتوا را دور بزنند و اطلاعات مشتریان را سرقت کنند.
نمایی از عملکرد این باگ که سورس صفحه ویرایش شده و کد گوگل با کد هکر جهت استخراج دیتا از سایت فروشگاه جایگزین شده است. با POST صفحه دیتا فروشگاه برای فرد نفوذگر نمایش داده میشود.
هنوز گوگل راهکاری برای حل این مشکل ارائه نکرده و نفوذگران در حال استفاده از این روش جدید جهت دستبرد به فروشگاههای بزرگ اینترنتی هستند.
یک نظر